点击此处---> 群内免费提供SAP练习系统(在群公告中)加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)尊敬的SAP专家 在我们的SA...
点击此处---> 群内免费提供SAP练习系统(在群公告中)加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)尊敬的SAP专家 在我们的SA...
加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)
尊敬的SAP专家
在我们的SAP PO(7.5)中,需要一些新的B2B集成。 该方案将是同步调用外部WS(SOAP)-> SAP PO-> SAP
我们正在评估与合作伙伴建立一个site2site VPN,以便在通过身份验证后,他们可以通过常规SOAP调用来调用我们的SAP PO。
但是,我们担心这可能是一个安全问题,因为一旦进行身份验证,他们就可以仅使用接口URL来调用任何其他SAP PO soap接口。 我知道我们可以在业务系统中使用"分配的用户"来限制该接口仅由特定的服务ID使用(在ICo的接口级别上也可以这样做)。 但这对安全漏洞没有帮助,因为其他接口在其"分配的用户"选项卡中没有任何限制,因此,一旦通过VPN进行身份验证,ID仍可以运行其他A2A接口。
唯一的选择是将所有可能的用户ID添加到所有其他接口,这样就不允许该特定ID运行任何其他接口-由于现有接口数量众多,因此我们不可接受。 SAP在OSS中确认这是使用"分配的用户"功能的唯一方法。
我们是否可以增强ACL(访问控制列表,即存储分配的用户的组件),使其不仅可以用作白名单,还可以主要用作黑名单?
有人对如何克服这个(恕我直言,非常基本的)安全问题有任何建议吗?
我已经阅读了这些帮助内容/SAP注释,这些注释仅证实了我刚才所说的内容:
-852237-XI运行时的扩展授权概念
谢谢!
对于您的问题,可能的解决方法是在DMZ中安装非中央高级适配器引擎(非中央AAE)。
他们的B2B接口将在外部适配器中运行通信通道,该适配器位于DMZ中,从而将其B2B伙伴与其他接口隔离开。
一周热门 更多>